Wir blicken zurück!
Das BF/M-Bayreuth begrüßte am 8. November 2018 zahlreiche interessierte Teilnehmer/-innen im Rahmen des Digitalen Gründerzentrums zur Veranstaltung „Informationssicherheitssysteme – Den Hackern auf der Spur?!“ in Bayreuth. Jörgen Eimecke, Geschäftsführer des BF/M, eröffnete die Veranstaltung in den Räumlichkeiten der IHK für Oberfranken Bayreuth und gab zudem den Teilnehmer/-innen einen umfassenden Einblick in die aktuelle Arbeit des BF/M-Bayreuth.
Thomas Ebel, Senior Consultant – Security and Energy, vom BF/M-Mitgliedsunternehmen SEVEN PRINCIPLES AG, berichtete ausführlich über die Herausforderungen im Alltag eines Auditors. Zum allgemeinen Verständnis ging Herr Ebel zu Beginn seines Vortrags auf die Begriffe „Informationssicherheit“, „ISMS“, „IT-Sicherheit“ und „Datenschutz“ und deren Unterschiede ein. Im Weiteren verdeutlichte er die hohe Bedeutung der Sicherstellung von Informationssicherheit in den KRITIS (Kritische Infrastrukturen), insbesondere bei Energieversorgern und wies darauf hin, dass die Verantwortlichkeit für ein angemessenes Informationssicherheits-Management-System vollkommen bei der Geschäftsführung liegt. Im Vorfeld eines externen Audits erfordert die Norm 27001 die Durchführung eines internen Audits sowie die Erstellung eines Auditplans. Das interne Audit kann selbstverständlich von einem fachlich qualifizierten Mitarbeiter aus dem eigenen Unternehmen vorgenommen werden, allerdings darf dieser nicht mit dem eigentlichen Prozess vertraut sein. Insbesondere das Dokument „Statement of Applicability“ (Anwendbarkeitserklärung) ist von Bedeutung für die Durchführung eines Audits. Grundsätzlich werden drei Arten von Audits unterschieden. Zu diesen zählen das Voraudit (Feststellung der Zertifizierungsreife), das Audit Stufe 1 (Prüfung von Dokumenten; Kennenlernen des zu zertifizierenden Unternehmens) sowie das Audit Stufe 3 (Vor-Ort-Audit). Nicht nur für das Unternehmen gibt es zahlreiche Regeln, auch der Auditor hat sich an gewisse Vorschriften zu halten. Dieser darf u. a. nicht in das Unternehmensgeschehen eingreifen oder dies durch sein Verhalten beeinflussen; dieser darf nicht alles sehen oder begehen (z. B. Firmengeheimnisse). Für einen reibungslosen Ablauf sollten sämtliche Details mit dem Auditor im Vorfeld abgeklärt werden.
Im Anschluss präsentierte Dr. Alexander Sänn, IT-Security Officer bei der TenneT TSO GmbH, eine aktuelle Studie des BF/M-Bayreuth, der Universität Bayreuth und der SEVEN PRINCIPLES AG zu Informationssicherheits-Management-Systemen bei Energieversorgern (2018). Ziel der Studie war es, den praktischen Nutzen sowie die Erfüllung der Erwartungshaltungen an ein Informationssicherheits-Management-System zu ermitteln. Dabei ging Herr Dr. Sänn auf die nachhaltige Veränderung einer Organisation, den Stand der Forschung und die aktuellen Herausforderungen ein. Insbesondere erläuterte er die empirische Untersuchung im Detail. Für diese Studie wurden Chief Information Security Officer (CISO) und Information Security Officer (ISO) sämtlicher Energieversorger befragt. Im weiteren Verlauf erläuterte Herr Dr. Sänn die organisatorischen Herausforderungen (z. B. die Zusammenarbeit mit externen Dienstleistern) und berichtete sowohl über die positiven (z. B. Aufdeckung von Problemen) als auch negativen (z. B. falsche Beratung in Bezug auf die Risikoanalyse) Erfahrungen der Unternehmen mit den Beratern.
Zum Abschluss gab es durch Richard Laqua, ISMS Auditor; ITSB & DSB bei der eyeDsec – Information Security GmbH aus Bayreuth, für die Teilnehmer/-innen einen ausführlichen Einblick in die Etablierung eines Informations-Management-Systems der ISO 27001 in die Praxis. Im Vorfeld ist zu entscheiden, ob ein externer Berater für die Etablierung engagiert wird, da Grundlagen der Informationssicherheit, der ISO 27001 sowie des Projektmanagements vorhanden sein sollten. Der Prozess zur Etablierung eines ISMS nach ISO 27001 besteht aus den Bauteilen „Initialisierung“, „IST-Aufnahme“, „Risikoanalyse“, „Umsetzung der Maßnahmen“ und „Kontrolle/Verbesserung“. Dabei stellte Herr Laqua zuerst die praxisrelevanten Anforderungen der ISO 27001 an die jeweiligen Projektbauteile vor. Die Etablierung eines ISMS erweist sich für viele Unternehmen als eine große Herausforderung, da Anforderungen exakt umgesetzt und im Sinne eines PDCA (Plan-Do-Check-Act) Kreislaufes kontinuierlich bearbeitet werden müssen. Herr Laqua schloss seinen Vortrag mit einem wertvollen Hinweis für die Teilnehmer/-innen. Die Einführung eines ISMS nach ISO 27001 ist schon jetzt ein starker Wettbewerbsvorteil und wird zukünftig in immer mehr Auftragsvergaben verpflichtend sein.
Das BF/M-Bayreuth bedankt sich herzlich bei den Teilnehmern/-innen für das große Interesse und die anregende Diskussion. Ein besonderer Dank geht an die Referenten Thomas Ebel, Dr. Alexander Sänn und Richard Laqua für die spannenden Einblicke in das Thema der Informationssicherheits-Management-Systeme. Weiterhin bedanken wir uns bei der IHK für Oberfranken Bayreuth für die Bereitstellung der Räumlichkeiten.